Облачная безопасность столкнулась с серьезным вызовом после обнаружения пяти критических уязвимостей в Fluent Bit - популярном инструменте для обработки логов, встроенном в миллиарды контейнеров. Исследователи компании Oligo Security выявили цепочки атак, позволяющие злоумышленникам обходить аутентификацию, выполнять обход путей файловой системы, подменять теги и даже добиваться удаленного выполнения кода.
Детали уязвимости
Fluent Bit представляет собой малозаметный, но критически важный компонент современной облачной инфраструктуры. Этот инструмент отвечает за сбор, обработку и пересылку логов. Согласно статистике, он развернут более 15 миллиардов раз, а за последнюю неделю только скачивания превысили 4 миллиона. Fluent Bit используется повсеместно: от исследований искусственного интеллекта и банковских платформ до автомобильного производства. Кроме того, он является фундаментальным элементом облачных сервисов гигантов вроде AWS, Google Cloud и Microsoft Azure.
Широкое распространение этого инструмента означает, что уязвимости в его ядре угрожают не только отдельным системам, но и общей стабильности облачной экосистемы. Исследовательская группа Oligo Security детально описала пять уязвимостей, получивших идентификаторы CVE.
- CVE-2025-12972 позволяет злоумышленникам внедрять последовательности обхода путей в непроверенные теги. В результате появляется возможность записи или перезаписи произвольных файлов на диске. Это не просто угроза целостности логов - уязвимость может привести к удаленному выполнению кода в уязвимых конфигурациях.
- CVE-2025-12970 представляет собой переполнение стека в плагине Docker. Атакующие, способные создавать контейнеры с длинными именами, могут вызвать переполнение буфера. Последствия варьируются от аварийного завершения работы Fluent Bit до полного компрометирования хостовой машины.
- CVE-2025-12978 связана с подменой тегов на основе ошибочной логики сопоставления. Для успешной атаки злоумышленникам достаточно угадать только первый символ ключа тега. Это позволяет перенаправлять логи, внедрять вредоносные записи и обходить системы фильтрации и мониторинга.
- CVE-2025-12977 представляет собой уязвимость внедрения тегов. Пользовательский контент тегов обходит проверку, что дает возможность внедрять опасные символы, включая последовательности обхода путей и управляющие символы. Это может привести к повреждению последующих логов или созданию новых векторов атак.
- CVE-2025-12969 позволяет обходить аутентификацию в конфигурациях, где Fluent Bit forwarder использует только параметр Security.Users. В таких случаях аутентификация молчаливо отключается, оставляя якобы защищенные конечные точки открытыми для атакующих.
Особую тревогу вызывает то, что некоторые из этих уязвимостей, например CVE-2025-12972, скрыто существовали в облачных средах более восьми лет. Это значительно повышает риски для организаций, зависящих от своевременных и точных данных логов для обнаружения и реагирования на инциденты.
Практические последствия эксплуатации этих уязвимости вызывают серьезное беспокойство. Злоумышленники могут нарушать работу облачных сервисов, изменять и удалять компрометирующие записи логов, внедрять поддельную телеметрию или даже получать полный контроль над инфраструктурой логирования.
Особую роль в этих атаках играет механизм тегов Fluent Bit. Каждая запись получает тег, который определяет, какие фильтры и выходные плагины будут ее обрабатывать. Соответственно, если маршрутизация логов различается в зависимости от сервиса, клиента или среды, она почти наверняка осуществляется с помощью тегов.
Манипулируя тегами и используя уязвимости обхода путей, атакующие могут перезаписывать логи, скрывать следы компрометации или устанавливать бэкдоры через выполнение вредоносного кода. Эти риски затрагивают различные сценарии использования.
Банки и финтех-компании сталкиваются с угрозой изменения или хищения логов транзакций и входов в систему, что подрывает механизмы обнаружения мошенничества. Облачные провайдеры и SaaS-компании рискуют столкнуться с нарушением работы наблюдаемости, фальсификацией данных соответствия требованиям или введением в заблуждение групп реагирования на инциденты. Системы безопасности могут потерять ценную телеметрию, что ослепит аналитиков перед реальными угрозами или переполнит панели управления ложными срабатываниями.
Специалисты по безопасности рекомендуют немедленно принять меры по устранению уязвимостей. Прежде всего, необходимо обновить Fluent Bit до версий 4.1.1 или 4.0.12, где исправлены проблемы проверки тегов и логики аутентификации. Также стоит избегать динамической маршрутизации тегов, отдавая предпочтение статическим, предопределенным тегам.
Кроме того, важно ограничить пути выходных файлов, устанавливая явные параметры Path или File в конфигурациях вывода, чтобы предотвратить обход путей. Следует применять монтирование конфигураций в режиме только для чтения и следовать принципу наименьших привилезий: запускать Fluent Bit от имени непривилегированного пользователя и ограничивать доступ к файловой системе.
Командам безопасности необходимо провести аудит развертываний на предмет непроверенных источников ввода, пересмотреть конфигурации обработки тегов и настроить мониторинг признаков эксплуатации уязвимостей.
Обнаружение этих уязвимостей также выявило пробелы в процессе реагирования на уязвимости открытого исходного кода. Несмотря на раскрытие информации через официальные каналы, для координации быстрого исправления потребовалось участие крупного облачного провайдера. Этот инцидент подчеркивает необходимость более тесного сотрудничества между облачными вендорами, исследователями безопасности и сопровождающими проектов для защиты критически важных цепочек поставок программного обеспечения.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-12972
- https://www.cve.org/CVERecord?id=CVE-2025-12970
- https://www.cve.org/CVERecord?id=CVE-2025-12978
- https://www.cve.org/CVERecord?id=CVE-2025-12977
- https://www.cve.org/CVERecord?id=CVE-2025-12969
- https://fluentbit.io/announcements/v4.1.0/
